Syslogの受信設定

FortiGate80Cを導入したので、きちんとsyslogをとることにしました。

FortiGate80Cのfacilityは標準だとlocal7になってますのですが、local7はブートログで使用しているので
FortiGate80C側で使用するfacilityをlocal0に変更します。

1.使用するログファイルの指定
vi /etc/syslog.conf
local0.* /var/log/router

*の後ろはTabですので、注意してください。
facilityがlocal0であればすべてのメッセージを受け取るとしています。

2.Syslodが外部からの着信を受け付け設定
vi /etc/sysconfig/syslog

SYSLOGD_OPTIONS=”-m 0″
となってる行があるはずなので、下記に書き換えます。
SYSLOGD_OPTIONS=”-m 0 -r”

ファシリティとか確認したい時は以下の設定にします。
SYSLOGD_OPTIONS=”-m 0 -S -S -r”

3.ログのローテーション
vi /etc/logrotate.d/syslog
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron
上記メッセージが～と出ている行があるので、一番後ろに下記を足します。
/var/log/router

付け足すときは半角スペースを忘れないこと。

4.ファイアーウォールの許可
syslogはUDPの514を使用します。
TCPとUDPの514番を通過させるファイアーウォールの設定を入れます。
setupでシステム設定を出して、ファイアーウォールの設定画面より個別のポート許可を行います。
TCP:514 UDP:514
区切り文字は半角スペースで、プロトコル:ポート番号となります。

5.Syslogの再起動
service syslog restart

6.FortiGate80Cの設定
FortiGate80CへIE8でログインします。
ログ＆リポート→ログ設定→リモートsyslogサーバ設定

でsyslogサーバのIPやメッセージのfacilityを設定します。
今回のfacilityはlocal0とします。


ログの解析方法はどうしましょうかね